{"id":462986,"date":"2025-06-12T03:04:43","date_gmt":"2025-06-12T03:04:43","guid":{"rendered":"http:\/\/savepearlharbor.com\/?p=462986"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=462986","title":{"rendered":"<span>\u0421\u0440\u0430\u0432\u043d\u0435\u043d\u0438\u0435 SBOM-\u0433\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440\u043e\u0432<\/span>"},"content":{"rendered":"<div><!--[--><!--]--><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<p>\u0412\u0441\u0435\u043c \u043f\u0440\u0438\u0432\u0435\u0442! \u041d\u0430 \u0441\u0432\u044f\u0437\u0438 \u0410\u0440\u043a\u0430\u0434\u0438\u0439 \u041a\u043e\u043c\u0438\u0441\u0441\u0430\u0440\u0447\u0443\u043a, \u044f \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u0430 Appsec.Track, \u0437\u0430\u043d\u0438\u043c\u0430\u044e\u0441\u044c \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f\u043c\u0438 \u0432 \u0441\u0444\u0435\u0440\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0439 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438. \u0422\u0435\u043c\u0430 \u0441\u0435\u0433\u043e\u0434\u043d\u044f\u0448\u043d\u0435\u0439 \u0441\u0442\u0430\u0442\u044c\u0438 \u0437\u0430\u0442\u0440\u0430\u0433\u0438\u0432\u0430\u0435\u0442 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0438 SCA &amp; SBOM.<\/p>\n<figure class=\"\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/B3mZXOt.jpeg\" sizes=\"(max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/i.imgur.com\/B3mZXOt.jpeg 780w,&#10;       https:\/\/i.imgur.com\/B3mZXOt.jpeg 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p><strong>Software Bill of Materials (SBOM)<\/strong> \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u0432\u0441\u0451 \u0431\u043e\u043b\u0435\u0435 \u0432\u0430\u0436\u043d\u044b\u043c \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u043e\u043c \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0433\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f. \u0412 <a href=\"https:\/\/habr.com\/ru\/companies\/swordfish_security\/articles\/797801\/\" rel=\"noopener noreferrer nofollow\">\u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u0441\u0442\u0430\u0442\u0435\u0439<\/a> \u043c\u044b \u0443\u0436\u0435 \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u0430\u043b\u0438, \u0447\u0442\u043e \u0442\u0430\u043a\u043e\u0435 SBOM \u0438 \u043a\u0430\u043a \u0438\u0445 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0442\u044c. \u0412 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u043c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u0434\u043b\u044f \u0438\u0445 \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438.<\/p>\n<p>\u0421 \u043f\u043e\u044f\u0432\u043b\u0435\u043d\u0438\u0435\u043c \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0434\u043b\u044f \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 SBOM, \u0432\u0441\u0442\u0430\u0451\u0442 \u0432\u043e\u043f\u0440\u043e\u0441 \u2014 \u0430 \u043a\u0430\u043a\u043e\u0439 \u0438\u0437 \u043d\u0438\u0445 \u0432\u044b\u0431\u0440\u0430\u0442\u044c? \u041c\u044b \u0441\u0440\u0430\u0432\u043d\u0438\u043b\u0438 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u0435 SBOM-\u0433\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440\u044b \u043f\u043e \u0444\u043e\u0440\u043c\u0430\u0442\u0443 <strong>CycloneDX<\/strong>: <code>cdxgen<\/code>, <code>Trivy<\/code>, <code>Syft<\/code> \u0438 \u043f\u043b\u0430\u0433\u0438\u043d\u044b CycloneDX \u0434\u043b\u044f \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0445 \u044d\u043a\u043e\u0441\u0438\u0441\u0442\u0435\u043c. \u0414\u043b\u044f \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0438:<\/p>\n<ul>\n<li>\n<p><a href=\"https:\/\/github.com\/appsecco\/dvja\" rel=\"noopener noreferrer nofollow\"><code>dvja<\/code><\/a>, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0438\u0439 Maven \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u0438 js-\u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/github.com\/tobyash86\/WebGoat.NET\/tree\/master\" rel=\"noopener noreferrer nofollow\"><code>WebGoat.NET<\/code><\/a> &#8212; WebGoat \u043f\u0440\u043e\u0435\u043a\u0442, \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043d\u0430 C# \u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0439 NuGet \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438, \u0430 \u0442\u0430\u043a\u0436\u0435 jquery. \u0415\u0449\u0435 \u0432 \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f Github Action<\/p>\n<\/li>\n<\/ul>\n<p>\u0412 \u0434\u0430\u043d\u043d\u043e\u043c \u043e\u0431\u0437\u043e\u0440\u0435 \u0441\u0440\u0430\u0432\u043d\u0438\u0432\u0430\u044e\u0442\u0441\u044f \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u044b \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u044f \u043a\u043e\u0434\u0430 \u0438 \u0441\u043e\u0431\u0440\u0430\u043d\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0435\u043a\u0442\u0430. \u0421\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 Docker-\u043e\u0431\u0440\u0430\u0437\u043e\u0432 \u043d\u0435 \u0441\u0438\u043b\u044c\u043d\u043e \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442\u0441\u044f \u043e\u0442 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u043e\u0431\u0440\u0430\u043d\u043d\u044b\u0445 \u0430\u0440\u0442\u0435\u0444\u0430\u043a\u0442\u043e\u0432, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0435\u0433\u043e \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0442\u044c \u043d\u0435 \u0431\u0443\u0434\u0435\u043c.<\/p>\n<h3>cdxgen<\/h3>\n<p>\u0413\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440 SBOM \u043e\u0442 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 CycloneDX, \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0432\u0448\u0435\u0433\u043e \u0441\u0432\u043e\u0439 \u0444\u043e\u0440\u043c\u0430\u0442 SBOM. \u041f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 Java, JavaScript (npm, yarn), Python \u0438 <a href=\"https:\/\/cyclonedx.github.io\/cdxgen\/#\/PROJECT_TYPES\" rel=\"noopener noreferrer nofollow\">\u043c\u043d\u043e\u0433\u0438\u0435 \u0434\u0440\u0443\u0433\u0438\u0435 \u044f\u0437\u044b\u043a\u0438<\/a>. \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f &#171;\u043f\u043e\u0434 \u043a\u0430\u043f\u043e\u0442\u043e\u043c&#187; Dependency-Track \u0434\u043b\u044f \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 SBOM.<\/p>\n<blockquote>\n<p>\u041a\u043e\u043c\u0430\u043d\u0434\u0430 \u0434\u043b\u044f \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f: <code>cdxgen &lt;path&gt;<\/code> (\u0432\u044b\u0432\u043e\u0434 \u0431\u0443\u0434\u0435\u0442 \u0432 \u0444\u0430\u0439\u043b\u0435 bom.json)<\/p>\n<\/blockquote>\n<p>\u0412 DJVA cdxgen \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0438\u0441\u0445\u043e\u0434\u044f \u0438\u0437 pom.xml \u0444\u0430\u0439\u043b\u0430 \u0432 DVJA \u0438 \u043f\u043e\u043c\u0435\u0441\u0442\u0438\u043b \u0435\u0433\u043e \u0432 \u0441\u0435\u043a\u0446\u0438\u044e &#171;metadata&#187;:<\/p>\n<pre><code class=\"json\">\"component\": {             \"group\": \"com.appsecco\",             \"name\": \"dvja\",             \"version\": \"1.0-SNAPSHOT\",             \"properties\": [                 {                     \"name\": \"SrcFile\",                     \"value\": \"\/mnt\/c\/Users\/akomissarchuk\/dummy-projects\/java\/dvja\/pom.xml\"                 }             ],             \"purl\": \"pkg:maven\/com.appsecco\/dvja@1.0-SNAPSHOT?type=war\",             \"bom-ref\": \"pkg:maven\/com.appsecco\/dvja@1.0-SNAPSHOT?type=war\",             \"type\": \"application\"         }, <\/code><\/pre>\n<p>\u0422\u043e \u0436\u0435 \u0441\u0430\u043c\u043e\u0435 \u0432 WebGoat.NET:<\/p>\n<pre><code class=\"json\">\"component\": {             \"type\": \"application\",             \"properties\": [                 {                     \"name\": \"cdx:dotnet:target_framework\",                     \"value\": \"net8.0\"                 }             ],             \"name\": \"WebGoat.NET\",             \"purl\": \"pkg:nuget\/WebGoat.NET@latest\",             \"bom-ref\": \"pkg:nuget\/WebGoat.NET@latest\"         }, <\/code><\/pre>\n<p>\u0412 \u044d\u0442\u043e\u0439 \u0436\u0435 \u0441\u0435\u043a\u0446\u0438\u0438 \u0434\u0430\u043b\u0435\u0435 \u0438\u0434\u0435\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e\u0431 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0445 \u0442\u0438\u043f\u0430\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0432 \u043f\u0440\u043e\u0435\u043a\u0442\u0435 \u043f\u043e \u044d\u043a\u043e\u0441\u0438\u0441\u0442\u0435\u043c\u0430\u043c, \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u0430\u0445 \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u044b\u0445 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0438 \u0444\u0430\u0439\u043b\u0430\u0445 \u0438\u0441\u0445\u043e\u0434\u043d\u0438\u043a\u043e\u0432:<\/p>\n<pre><code class=\"json\">\"properties\": [             {                 \"name\": \"cdx:bom:componentTypes\",                 \"value\": \"maven\\\\nnpm\"             },             {                 \"name\": \"cdx:bom:componentNamespaces\",                 \"value\": \"antlr\\\\naopalliance\\\\nasm\\\\ncglib\\\\ncom.google.code.gson\\\\ncom.jgeppert.struts2.bootstrap\\\\ncommons-beanutils\\\\ncommons-chain\\\\ncommons-codec\\\\ncommons-collections\\\\ncommons-digester\\\\ncommons-fileupload\\\\ncommons-io\\\\ncommons-lang\\\\ncommons-logging\\\\ncommons-validator\\\\ndom4j\\\\njavassist\\\\njavax.servlet\\\\njavax.transaction\\\\njunit\\\\nlog4j\\\\nmysql\\\\nognl\\\\norg.apache.commons\\\\norg.apache.logging.log4j\\\\norg.apache.struts\\\\norg.apache.struts.xwork\\\\norg.apache.velocity\\\\norg.freemarker\\\\norg.hibernate\\\\norg.slf4j\\\\norg.springframework\\\\noro\\\\nsslext\\\\nxml-apis\"             },             {                 \"name\": \"cdx:bom:componentSrcFiles\",                 \"value\": \"pom.xml\\\\nsrc\/main\/webapp\/assets\/jquery-3.2.1.min.js\\\\nsrc\/main\/webapp\/assets\/showdown.min.js\"             } <\/code><\/pre>\n<pre><code class=\"json\">\"properties\": [             {                 \"name\": \"cdx:bom:componentTypes\",                 \"value\": \"github\\\\nnpm\\\\nnuget\"             },             {                 \"name\": \"cdx:bom:componentNamespaces\",                 \"value\": \"actions\\\\ndocker\"             },             {                 \"name\": \"cdx:bom:componentSrcFiles\",                 \"value\": \"WebGoat.NET\/WebGoat.NET.csproj\\\\nWebGoat.NET\/wwwroot\/lib\/bootstrap\/dist\/js\/bootstrap.bundle.min.js\\\\nWebGoat.NET\/wwwroot\/lib\/bootstrap\/dist\/js\/bootstrap.min.js\\\\nWebGoat.NET\/wwwroot\/lib\/jquery-validation\/dist\/additional-methods.min.js\\\\nWebGoat.NET\/wwwroot\/lib\/jquery-validation\/dist\/jquery.validate.min.js\\\\nWebGoat.NET\/wwwroot\/lib\/jquery\/dist\/jquery.min.js\"             } <\/code><\/pre>\n<p>\u0414\u0430\u043b\u0435\u0435 \u0438\u0434\u0451\u0442 \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d\u0438\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0445 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0432 \u0441\u0435\u043a\u0446\u0438\u0438 <code>components<\/code>. \u0414\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430 \u0432\u044b\u0432\u043e\u0434\u0438\u0442\u0441\u044f \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u043e \u0435\u0433\u043e \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u044f \u0432 \u043f\u0440\u043e\u0435\u043a\u0442\u0435 (evidence). \u042d\u0442\u043e \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u0444\u0430\u0439\u043b\u044b \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u043e\u0432, \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0441\u0430\u043c\u0438\u0445 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0438 \u043c\u043d\u043e\u0433\u043e\u0435 \u0434\u0440\u0443\u0433\u043e\u0435 (\u0441\u043c. <a href=\"https:\/\/cyclonedx.org\/guides\/OWASP_CycloneDX-Authoritative-Guide-to-SBOM-en.pdf\" rel=\"noopener noreferrer nofollow\">\u0441\u043f\u0435\u0446\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044e<\/a>, \u0440\u0430\u0437\u0434\u0435\u043b Evidence).<\/p>\n<p>\u041f\u0440\u0438\u043c\u0435\u0440 \u2014 \u0432 DJVA \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f showdown, \u043d\u043e \u043d\u0435 \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 npm-\u043c\u043e\u0434\u0443\u043b\u044f, \u0430 \u043f\u0440\u043e\u0441\u0442\u043e \u0432 \u0432\u0438\u0434\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u043d\u043e\u0433\u043e \u0441\u043a\u0440\u0438\u043f\u0442\u0430, \u0438 cdxgen \u0441\u043c\u043e\u0433 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u044d\u0442\u043e \u0438\u0437 \u0438\u043c\u0435\u043d\u0438 \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u043e\u0433\u043e .min.js \u0444\u0430\u0439\u043b\u0430:<\/p>\n<pre><code class=\"json\"> {             \"group\": \"\",             \"name\": \"showdown\",             \"version\": \"02-06-2017\",             \"purl\": \"pkg:npm\/showdown@02-06-2017\",             \"type\": \"library\",             \"bom-ref\": \"pkg:npm\/showdown@02-06-2017\",             \"properties\": [                 {                     \"name\": \"SrcFile\",                     \"value\": \"src\/main\/webapp\/assets\/showdown.min.js\"                 }             ],             \"evidence\": {                 \"identity\": [                     {                         \"field\": \"purl\",                         \"confidence\": 0.25,                         \"methods\": [                             {                                 \"technique\": \"filename\",                                 \"confidence\": 0.25,                                 \"value\": \"src\/main\/webapp\/assets\/showdown.min.js\"                             }                         ],                         \"concludedValue\": \"src\/main\/webapp\/assets\/showdown.min.js\"                     }                 ]             }         }, <\/code><\/pre>\n<p>\u0412 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 evidence \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0438 \u0434\u043b\u044f \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432, \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u043e\u0432. \u041f\u0440\u0438\u043c\u0435\u0440 \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u043e\u0433\u043e Json.Net \u0432 .csproj \u0444\u0430\u0439\u043b\u0435 WebGoat:<\/p>\n<pre><code class=\"json\">{             \"group\": \"\",             \"name\": \"Json.Net\",             \"version\": \"1.0.33\",             \"purl\": \"pkg:nuget\/Json.Net@1.0.33\",             \"type\": \"library\",             \"bom-ref\": \"pkg:nuget\/Json.Net@1.0.33\",             \"properties\": [                 {                     \"name\": \"SrcFile\",                     \"value\": \"WebGoat.NET\/WebGoat.NET.csproj\"                 }             ],             \"evidence\": {                 \"identity\": [                     {                         \"field\": \"purl\",                         \"confidence\": 0.7,                         \"methods\": [                             {                                 \"technique\": \"manifest-analysis\",                                 \"confidence\": 0.7,                                 \"value\": \"WebGoat.NET\/WebGoat.NET.csproj\"                             }                         ],                         \"concludedValue\": \"WebGoat.NET\/WebGoat.NET.csproj\"                     }                 ]             }         }, <\/code><\/pre>\n<p>\u0412\u0441\u0435 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435, \u0433\u0440\u0443\u043f\u043f\u0443 (\u043f\u0440\u0438 \u043d\u0430\u043b\u0438\u0447\u0438\u0438) \u0438 \u0432\u0435\u0440\u0441\u0438\u044e. \u0414\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442\u0441\u044f \u0435\u0433\u043e purl \u0438 \u0442\u0438\u043f (library, framework, application \u0438 \u0442.\u0434.)\/<\/p>\n<blockquote>\n<p><em>\u0412 SBOM \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430\u043c\u0438 \u043c\u043e\u0433\u0443\u0442 \u044f\u0432\u043b\u044f\u0442\u044c\u0441\u044f \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 \u0438\u043b\u0438 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u044b\u0435 \u043c\u043e\u0434\u0443\u043b\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0432 \u043f\u0440\u043e\u0435\u043a\u0442\u0435, \u043d\u043e \u0438 \u043c\u043d\u043e\u0433\u0438\u0435 \u0434\u0440\u0443\u0433\u0438\u0435 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u044b. \u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u2014 \u0432 <\/em><a href=\"https:\/\/cyclonedx.org\/guides\/OWASP_CycloneDX-Authoritative-Guide-to-SBOM-en.pdf\" rel=\"noopener noreferrer nofollow\"><em>\u0441\u043f\u0435\u0446\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438<\/em><\/a><em>.<\/em><\/p>\n<\/blockquote>\n<figure class=\"\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/JMJTXvz.png\" alt=\"alt\" title=\"\u0422\u0438\u043f\u044b \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0432 \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 CycloneDX\" sizes=\"(max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/i.imgur.com\/JMJTXvz.png 780w,&#10;       https:\/\/i.imgur.com\/JMJTXvz.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/p>\n<div><figcaption>\u0422\u0438\u043f\u044b \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0432 \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 CycloneDX<\/figcaption><\/div>\n<\/figure>\n<p>\u0414\u043b\u044f maven-\u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 cdxgen \u0442\u0430\u043a\u0436\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b scope (\u043e\u0431\u043b\u0430\u0441\u0442\u044c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f) \u0438 \u0440\u0430\u0437\u0434\u0435\u043b\u0438\u043b \u0438\u0445 \u043d\u0430 \u043d\u0435\u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0435 (&#171;scope&#187;: &#171;optional&#187;), \u043a\u043e\u0442\u043e\u0440\u044b\u0435, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442\u0441\u044f \u0434\u043b\u044f \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f, \u0438 \u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 (&#171;scope&#187;: &#171;required&#187;). \u041f\u0440\u0438\u043c\u0435\u0440 \u2014 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b spring-test \u0438 spring-core:<\/p>\n<pre><code class=\"json\">{             \"group\": \"org.springframework\",             \"name\": \"spring-test\",             \"version\": \"3.0.5.RELEASE\",             \"scope\": \"optional\",             \"purl\": \"pkg:maven\/org.springframework\/spring-test@3.0.5.RELEASE?type=jar\",             \"type\": \"framework\",             \"bom-ref\": \"pkg:maven\/org.springframework\/spring-test@3.0.5.RELEASE?type=jar\",             \"properties\": [                 {                     \"name\": \"cdx:maven:component_scope\",                     \"value\": \"test\"                 },                 {                     \"name\": \"SrcFile\",                     \"value\": \"pom.xml\"                 }             ],             \"evidence\": {                 \"identity\": [                     {                         \"field\": \"purl\",                         \"confidence\": 0.5,                         \"methods\": [                             {                                 \"technique\": \"manifest-analysis\",                                 \"confidence\": 0.5,                                 \"value\": \"pom.xml\"                             }                         ],                         \"concludedValue\": \"pom.xml\"                     }                 ]             },             \"tags\": [                 \"framework\"             ]         },         {             \"group\": \"org.springframework\",             \"name\": \"spring-core\",             \"version\": \"3.0.5.RELEASE\",             \"scope\": \"required\",             \"purl\": \"pkg:maven\/org.springframework\/spring-core@3.0.5.RELEASE?type=jar\",             \"type\": \"framework\",             \"bom-ref\": \"pkg:maven\/org.springframework\/spring-core@3.0.5.RELEASE?type=jar\",             \"properties\": [                 {                     \"name\": \"cdx:maven:component_scope\",                     \"value\": \"compile\"                 },                 {                     \"name\": \"SrcFile\",                     \"value\": \"pom.xml\"                 }             ],             \"evidence\": {                 \"identity\": [                     {                         \"field\": \"purl\",                         \"confidence\": 0.5,                         \"methods\": [                             {                                 \"technique\": \"manifest-analysis\",                                 \"confidence\": 0.5,                                 \"value\": \"pom.xml\"                             }                         ],                         \"concludedValue\": \"pom.xml\"                     }                 ]             },             \"tags\": [                 \"framework\"             ]         }, <\/code><\/pre>\n<p>\u041a\u0440\u043e\u043c\u0435 \u043e\u0431\u044b\u0447\u043d\u044b\u0445 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u044b\u0445 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0432 WebGoat cdxgen \u0442\u0430\u043a\u0436\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b github-action \u0444\u0430\u0439\u043b\u044b, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0431\u044b\u043b\u0438 \u0432 \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0438, \u0438 \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e \u043d\u0430\u043f\u0438\u0441\u0430\u043b \u0434\u043b\u044f \u043d\u0438\u0437 purl. \u041e\u0434\u043d\u0430\u043a\u043e \u0434\u043b\u044f \u043e\u0434\u043d\u043e\u0433\u043e (checkout) \u0442\u0438\u043f \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430 \u043f\u043e\u0447\u0435\u043c\u0443-\u0442\u043e \u0431\u044b\u043b \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d \u043a\u0430\u043a application:<\/p>\n<pre><code class=\"json\">{             \"group\": \"actions\",             \"name\": \"checkout\",             \"version\": \"v2\",             \"purl\": \"pkg:github\/actions\/checkout@v2\",             \"type\": \"application\",             \"bom-ref\": \"pkg:github\/actions\/checkout@v2\"         },         {             \"group\": \"docker\",             \"name\": \"setup-buildx-action\",             \"version\": \"v2\",             \"purl\": \"pkg:github\/docker\/setup-buildx-action@v2\",             \"type\": \"library\",             \"bom-ref\": \"pkg:github\/docker\/setup-buildx-action@v2\"         },         {             \"group\": \"docker\",             \"name\": \"login-action\",             \"version\": \"v2\",             \"purl\": \"pkg:github\/docker\/login-action@v2\",             \"type\": \"library\",             \"bom-ref\": \"pkg:github\/docker\/login-action@v2\"         },         {             \"group\": \"docker\",             \"name\": \"metadata-action\",             \"version\": \"v4\",             \"purl\": \"pkg:github\/docker\/metadata-action@v4\",             \"type\": \"library\",             \"bom-ref\": \"pkg:github\/docker\/metadata-action@v4\"         },         {             \"group\": \"docker\",             \"name\": \"build-push-action\",             \"version\": \"v3\",             \"purl\": \"pkg:github\/docker\/build-push-action@v3\",             \"type\": \"library\",             \"bom-ref\": \"pkg:github\/docker\/build-push-action@v3\"         } <\/code><\/pre>\n<p>\u0412\u0441\u0435\u0433\u043e \u0434\u043b\u044f DJVA cdxgen \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b 65 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432, \u0434\u043b\u044f WebGoat.NET  \u2014 21.<\/p>\n<blockquote>\n<p>\u041d\u0430\u0433\u043b\u044f\u0434\u043d\u043e \u0432\u0438\u0437\u0443\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u043d\u0438\u0435 CycloneDX SBOM \u043c\u043e\u0436\u043d\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u0430 <a href=\"https:\/\/cyclonedx.github.io\/Sunshine\/\" rel=\"noopener noreferrer nofollow\">Sunshine<\/a> \u043e\u0442 \u0441\u0430\u043c\u0438\u0445 CycloneDX:<\/p>\n<\/blockquote>\n<figure class=\"\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/PxPBCP1.png\" sizes=\"(max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/i.imgur.com\/PxPBCP1.png 780w,&#10;       https:\/\/i.imgur.com\/PxPBCP1.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0412 \u0441\u0435\u043a\u0446\u0438\u0438 dependencies \u0440\u0430\u0441\u043f\u0438\u0441\u0430\u043d\u044b \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439. \u0414\u043b\u044f \u043e\u0434\u043d\u043e\u0433\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u044f\u043c\u044b\u0435 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438, \u0430 \u0433\u0440\u0430\u0444 \u0442\u0440\u0430\u043d\u0437\u0438\u0442\u0438\u0432\u043d\u044b\u0445 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c, \u0441\u043e\u043f\u043e\u0441\u0442\u0430\u0432\u0438\u0432 \u0432\u0441\u0435 \u043f\u0440\u044f\u043c\u044b\u0435 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430.<\/p>\n<pre><code class=\"json\">\"dependencies\": [         {         \/\/ \u041e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u0438 \u0435\u0433\u043e \u043f\u0440\u044f\u043c\u044b\u0435 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438             \"ref\": \"pkg:maven\/com.appsecco\/dvja@1.0-SNAPSHOT?type=war\",             \"dependsOn\": [                 \"pkg:maven\/cglib\/cglib@2.2?type=jar\",                 \"pkg:maven\/com.google.code.gson\/gson@2.8.1?type=jar\",                 \"pkg:maven\/com.jgeppert.struts2.bootstrap\/struts2-bootstrap-plugin@2.5.1?type=jar\",                 \"pkg:maven\/commons-codec\/commons-codec@1.10?type=jar\",                 \"pkg:maven\/javax.servlet\/jsp-api@2.0?type=jar\",                 \"pkg:maven\/javax.servlet\/servlet-api@2.4?type=jar\",                 \"pkg:maven\/junit\/junit@4.5?type=jar\",                 \"pkg:maven\/mysql\/mysql-connector-java@5.1.42?type=jar\",                 \"pkg:maven\/org.apache.logging.log4j\/log4j-api@2.3?type=jar\",                 \"pkg:maven\/org.apache.logging.log4j\/log4j-core@2.3?type=jar\",                 \"pkg:maven\/org.apache.struts\/struts2-config-browser-plugin@2.3.30?type=jar\",                 \"pkg:maven\/org.apache.struts\/struts2-core@2.3.30?type=jar\",                 \"pkg:maven\/org.apache.struts\/struts2-junit-plugin@2.3.30?type=jar\",                 \"pkg:maven\/org.apache.struts\/struts2-spring-plugin@2.3.30?type=jar\",                 \"pkg:maven\/org.hibernate\/hibernate-annotations@3.4.0.GA?type=jar\",                 \"pkg:maven\/org.hibernate\/hibernate-core@3.3.1.GA?type=jar\",                 \"pkg:maven\/org.hibernate\/hibernate-entitymanager@3.4.0.GA?type=jar\",                 \"pkg:maven\/org.slf4j\/slf4j-log4j12@1.5.2?type=jar\",                 \"pkg:maven\/org.springframework\/spring-orm@3.0.5.RELEASE?type=jar\",                 \"pkg:maven\/org.springframework\/spring-tx@3.0.5.RELEASE?type=jar\"             ]         }, <\/code><\/pre>\n<p>\u0421\u0442\u043e\u0438\u0442 \u043e\u0442\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e cdxgen \u043d\u0435 \u043f\u043e\u0432\u0442\u043e\u0440\u044f\u0435\u0442\u0441\u044f \u043f\u0440\u0438 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u043d\u0438\u0438 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u043f\u0430\u043a\u0435\u0442\u043e\u0432. \u0422\u043e \u0435\u0441\u0442\u044c, \u0435\u0441\u043b\u0438 \u043f\u0430\u043a\u0435\u0442 A \u0437\u0430\u0432\u0438\u0441\u0438\u0442 \u043e\u0442 \u043f\u0430\u043a\u0435\u0442\u0430 B, \u0438 \u043f\u0430\u043a\u0435\u0442 C \u0437\u0430\u0432\u0438\u0441\u0438\u0442 \u043e\u0442 \u043f\u0430\u043a\u0435\u0442\u0430 B, \u0442\u043e cdxgen \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u043f\u0430\u043a\u0435\u0442 B \u0442\u043e\u043b\u044c\u043a\u043e \u0432 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u044f\u0445 \u043f\u0430\u043a\u0435\u0442\u0430 A. \u041f\u0440\u0438\u043c\u0435\u0440 \u2014 \u043f\u0430\u043a\u0435\u0442 <code>pkg:maven\/org.apache.struts\/struts2-spring-plugin@2.3.30<\/code> \u0437\u0430\u0432\u0438\u0441\u0438\u0442 \u043e\u0442 \u043f\u0430\u043a\u0435\u0442\u043e\u0432:<\/p>\n<pre><code class=\"json\">{             \"ref\": \"pkg:maven\/org.apache.struts\/struts2-spring-plugin@2.3.30?type=jar\",             \"dependsOn\": [                 \"pkg:maven\/org.apache.commons\/commons-lang3@3.2?type=jar\",                 \"pkg:maven\/org.springframework\/spring-beans@3.0.5.RELEASE?type=jar\",                 \"pkg:maven\/org.springframework\/spring-web@3.0.5.RELEASE?type=jar\"             ]         }, <\/code><\/pre>\n<p>\u0418 \u043f\u0430\u043a\u0435\u0442 <code>pkg:maven\/org.springframework\/spring-web@3.0.5.RELEASE<\/code> <a href=\"https:\/\/mvnrepository.com\/artifact\/org.springframework\/spring-web\/3.0.5.RELEASE\" rel=\"noopener noreferrer nofollow\">\u0437\u0430\u0432\u0438\u0441\u0438\u0442<\/a> \u043e\u0442 <code>spring-beans<\/code>, \u043d\u043e \u0432 \u0435\u0433\u043e \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u044f\u0445 \u043e\u043d \u043d\u0435 \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442\u0441\u044f, \u043a\u0430\u043a \u0438 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0435 \u0435\u0433\u043e \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0443\u0436\u0435 \u0431\u044b\u043b\u0438 \u0443\u043f\u043e\u043c\u044f\u043d\u0443\u0442\u044b \u0432\u044b\u0448\u0435 \u043f\u043e \u0441\u043f\u0438\u0441\u043a\u0443:<\/p>\n<pre><code class=\"json\">{             \"ref\": \"pkg:maven\/org.springframework\/spring-web@3.0.5.RELEASE?type=jar\",             \"dependsOn\": []         }, <\/code><\/pre>\n<p>\u0421 \u043e\u0434\u043d\u043e\u0439 \u0441\u0442\u043e\u0440\u043e\u043d\u044b cdxgen \u0441\u043e\u043a\u0440\u0430\u0449\u0430\u0435\u0442 \u0440\u0430\u0431\u043e\u0442\u0443 \u043f\u043e \u0440\u0430\u0437\u0431\u043e\u0440\u0443 \u0442\u0440\u0430\u043d\u0437\u0438\u0442\u0438\u0432\u043e\u0432 \u043f\u0440\u043e\u0435\u043a\u0442\u0430, \u0443\u0431\u0438\u0440\u0430\u044f \u043f\u043e\u0432\u0442\u043e\u0440\u0435\u043d\u0438\u044f \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432, \u043d\u043e \u0441 \u0434\u0440\u0443\u0433\u043e\u0439 \u2014 \u043e\u043d \u043f\u043e \u0441\u0443\u0442\u0438 \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u043d\u0435 \u043e\u0447\u0435\u043d\u044c \u0442\u043e\u0447\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u044f\u0445 \u043e\u0442\u0434\u0435\u043b\u044c\u043d\u044b\u0445 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432, \u0438\u0437-\u0437\u0430 \u0447\u0435\u0433\u043e \u043f\u043e\u043b\u043d\u044b\u0439 \u0433\u0440\u0430\u0444 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u043f\u043e \u0442\u0430\u043a\u043e\u043c\u0443 SBOM \u043f\u043e\u0441\u0442\u0440\u043e\u0438\u0442\u044c \u043d\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u0441\u044f. \u041d\u0430 \u044d\u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u0441 \u0440\u0430\u0437\u043d\u044b\u0445 \u0441\u0442\u043e\u0440\u043e\u043d, \u043d\u043e \u0432 \u043b\u044e\u0431\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 \u044d\u0442\u043e \u0434\u043e\u0432\u043e\u043b\u044c\u043d\u043e \u0432\u0430\u0436\u043d\u044b\u0439 \u043c\u043e\u043c\u0435\u043d\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u0443\u0447\u0438\u0442\u044b\u0432\u0430\u0442\u044c \u043f\u0440\u0438 \u0440\u0430\u0431\u043e\u0442\u0435 \u0441 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u044f\u043c\u0438 \u0432 SBOM \u043e\u0442 cdxgen.<\/p>\n<p>\u0414\u043b\u044f WebGoat.NET \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u044f \u0441 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u044f\u043c\u0438 \u043f\u0440\u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0435 \u043a\u043e\u0434\u0430 \u043f\u043e\u0445\u0443\u0436\u0435 \u2014 \u0437\u0430\u043f\u0438\u0441\u0430\u043b\u0438\u0441\u044c \u0442\u043e\u043b\u044c\u043a\u043e \u043f\u0440\u044f\u043c\u044b\u0435 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 cdxgen \u0441\u043c\u043e\u0433 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u0438\u0437 \u0444\u0430\u0439\u043b\u0430 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u0430 .csproj:<\/p>\n<figure class=\"\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/5imiwKR.png\" sizes=\"(max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/i.imgur.com\/5imiwKR.png 780w,&#10;       https:\/\/i.imgur.com\/5imiwKR.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0422\u0440\u0430\u043d\u0437\u0438\u0442\u0438\u0432\u043d\u044b\u0435 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u0434\u043b\u044f C# cdxgen \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u043d\u0435 \u0441\u043c\u043e\u0433, \u0432 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 Java (\u0433\u0434\u0435 cdxgen \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e \u0447\u0435\u0440\u0435\u0437 maven \u0438\u0445 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442), \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043f\u0435\u0440\u0435\u0434 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u0441\u043b\u0435\u0434\u0443\u0435\u0442 \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c <code>dotnet restore<\/code> \u0434\u043b\u044f \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 project.assets.json, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0435\u0433\u043e \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043f\u0440\u043e\u0435\u043a\u0442\u0430. \u041f\u043e\u0441\u043b\u0435 \u044d\u0442\u043e\u0433\u043e \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f cdxgen \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b \u0430\u0436 246 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u0432\u0441\u0435 NuGet \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b \u0438 jquery.<\/p>\n<p><strong>\u0418\u0442\u043e\u0433<\/strong>: cdxgen \u0445\u043e\u0440\u043e\u0448\u043e \u043f\u043e\u0434\u0445\u043e\u0434\u0438\u0442 \u0434\u043b\u044f multi-language \u043f\u0440\u043e\u0435\u043a\u0442\u043e\u0432: \u043e\u043d \u0434\u0435\u0442\u0435\u043a\u0442\u0438\u0440\u0443\u0435\u0442 \u043a\u0430\u043a Maven\/NuGet, \u0442\u0430\u043a \u0438 npm\/JS \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438, \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u0442\u0438\u043f\u044b \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0438 \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u0443\u0432\u0435\u0440\u0435\u043d\u043d\u043e\u0441\u0442\u0438 \u0432 \u0438\u0445 \u043d\u0430\u043b\u0438\u0447\u0438\u0438, \u0441\u0442\u0440\u043e\u0438\u0442 \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u044b\u0439 \u0433\u0440\u0430\u0444 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u0438 \u0445\u043e\u0440\u043e\u0448\u043e \u0441\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0441 \u0437\u0430\u0434\u0430\u0447\u0435\u0439 \u0438\u043d\u0432\u0435\u043d\u0442\u0430\u0440\u0438\u0437\u0430\u0446\u0438\u0438 \u043f\u0440\u043e\u0435\u043a\u0442\u0430.<\/p>\n<h3>Trivy<\/h3>\n<p>\u041c\u043d\u043e\u0433\u043e\u0444\u0443\u043d\u043a\u0446\u0438\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0439 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043e\u0442 Aqua Security. \u041f\u043e\u043c\u0438\u043c\u043e SBOM, \u0443\u043c\u0435\u0435\u0442 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438, \u043c\u0438\u0441\u043c\u0430\u0442\u0447\u0438 \u043b\u0438\u0446\u0435\u043d\u0437\u0438\u0439 \u0438 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043a\u0430\u043a \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438, \u0442\u0430\u043a \u0438 \u043e\u0431\u0440\u0430\u0437\u044b \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u043e\u0432.<\/p>\n<p>\u0414\u043b\u044f \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u043b\u043e\u043a\u0430\u043b\u044c\u043d\u043e\u0439 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 \u0438\u043b\u0438 \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u044f (\u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u0433\u043e) \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u044b fs \u0438 repo \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e.<\/p>\n<blockquote>\n<p>\u041a\u043e\u043c\u0430\u043d\u0434\u0430: <code>trivy fs\/repo --format cyclonedx --output sbom.json &lt;path&gt;<\/code><\/p>\n<\/blockquote>\n<p>SBOM, \u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439, Trivy \u0438\u043c\u0435\u0435\u0442 \u043c\u043d\u043e\u0433\u043e \u043e\u0442\u043b\u0438\u0447\u0438\u0439 \u043e\u0442 cdxgen. \u0412\u043e-\u043f\u0435\u0440\u0432\u044b\u0445, \u0435\u0441\u043b\u0438 \u0432 cdxgen \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435 \u043f\u0440\u043e\u0435\u043a\u0442\u0430, \u0438, \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0433\u043b\u0430\u0432\u043d\u043e\u0433\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430, \u0431\u044b\u043b\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043e \u0438\u0437 \u0433\u043b\u0430\u0432\u043d\u043e\u0433\u043e \u0444\u0430\u0439\u043b\u0430 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u0430, \u0442\u043e \u0432 \u0432\u044b\u0432\u043e\u0434\u0435 Trivy \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0433\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u0430\u044f \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044f \u043f\u0440\u043e\u0435\u043a\u0442\u0430 (\u0432 \u0434\u0430\u043d\u043d\u043e\u043c \u0441\u043b\u0443\u0447\u0430\u0435 Trivy \u0437\u0430\u043f\u0443\u0441\u043a\u0430\u043b\u0441\u044f \u043f\u0440\u044f\u043c\u043e \u0438\u0437 \u043f\u0430\u043f\u043a\u0438 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 \u0441 \u043f\u0443\u0442\u0451\u043c <code>.<\/code>), \u0430 \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043d\u0435\u0433\u043e (bom-ref) \u2014 \u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u0439 UID:<\/p>\n<pre><code class=\"json\">\"component\": {       \"bom-ref\": \"21212107-6743-4c0e-9346-884faa85ef9c\",       \"type\": \"application\",       \"name\": \".\",       \"properties\": [         {           \"name\": \"aquasecurity:trivy:SchemaVersion\",           \"value\": \"2\"         }       ]     } <\/code><\/pre>\n<p>\u0412 \u0441\u043b\u0443\u0447\u0430\u0435 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0443\u0434\u0430\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u044f \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u044f \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0439:<\/p>\n<pre><code class=\"json\">\"component\": {       \"bom-ref\": \"4d4e4cd6-94b5-4ffc-a67d-54d8b2c3b985\",       \"type\": \"application\",       \"name\": \"https:\/\/github.com\/appsecco\/dvja\",       \"properties\": [         {           \"name\": \"aquasecurity:trivy:SchemaVersion\",           \"value\": \"2\"         }       ]     } <\/code><\/pre>\n<p>\u041d\u0435\u0441\u043c\u043e\u0442\u0440\u044f \u043d\u0430 \u044d\u0442\u043e, \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u0432\u0441\u0435 \u0440\u0430\u0432\u043d\u043e \u0441\u043f\u043e\u043a\u043e\u0439\u043d\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442\u0441\u044f \u0438\u0437 \u0444\u0430\u0439\u043b\u0430 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u0430 \u0438 \u043f\u043e\u043c\u0435\u0449\u0430\u0435\u0442\u0441\u044f \u0432 \u0441\u043f\u0438\u0441\u043e\u043a, \u043f\u0440\u0438\u0447\u0435\u043c \u0434\u0432\u0430\u0436\u0434\u044b:<\/p>\n<pre><code class=\"json\">\"components\": [ \/\/ \u043f\u0435\u0440\u0432\u044b\u0439 \u0440\u0430\u0437 - \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u0442\u0438\u043f\u0430 application, \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u044b\u0439 \u043f\u043e pom.xml DVJA      {       \"bom-ref\": \"7716a724-a237-49e0-8c17-9138602b1ae0\",       \"type\": \"application\",       \"name\": \"pom.xml\",       \"properties\": [         {           \"name\": \"aquasecurity:trivy:Class\",           \"value\": \"lang-pkgs\"         },         {           \"name\": \"aquasecurity:trivy:Type\",           \"value\": \"pom\"         }       ]     },     \/\/ \u0432\u0442\u043e\u0440\u043e\u0439 \u0440\u0430\u0437 - \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u0441 \u0438\u043c\u0435\u043d\u0435\u043c com.appsecco\/dvja \u0442\u0438\u043f\u0430 library     {       \"bom-ref\": \"pkg:maven\/com.appsecco\/dvja@1.0-SNAPSHOT\",       \"type\": \"library\",       \"group\": \"com.appsecco\",       \"name\": \"dvja\",       \"version\": \"1.0-SNAPSHOT\",       \"purl\": \"pkg:maven\/com.appsecco\/dvja@1.0-SNAPSHOT\",       \"properties\": [         {           \"name\": \"aquasecurity:trivy:PkgID\",           \"value\": \"com.appsecco:dvja:1.0-SNAPSHOT\"         },         {           \"name\": \"aquasecurity:trivy:PkgType\",           \"value\": \"pom\"         }       ]     }, <\/code><\/pre>\n<p>\u0412 \u0438\u0442\u043e\u0433\u0435 \u043c\u044b \u0438\u043c\u0435\u0435\u043c \u0442\u0440\u0438 \u0440\u0430\u0437\u043d\u044b\u0445 \u043e\u0431\u044a\u0435\u043a\u0442\u0430, \u043e\u0431\u043e\u0437\u043d\u0430\u0447\u0430\u044e\u0449\u0438\u0445 \u0433\u043b\u0430\u0432\u043d\u044b\u0439 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u043f\u0440\u043e\u0435\u043a\u0442\u0430. \u042d\u0442\u043e \u043c\u043e\u0436\u0435\u0442 \u0441\u043e\u0437\u0434\u0430\u0432\u0430\u0442\u044c \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u0443\u044e \u043f\u0443\u0442\u0430\u043d\u0438\u0446\u0443. \u041d\u043e, \u043a\u0430\u043a \u0431\u0443\u0434\u0435\u0442 \u0443\u043a\u0430\u0437\u0430\u043d\u043e \u043d\u0438\u0436\u0435, \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442\u0441\u0447\u0438\u0442\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u043e\u0442 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430 \u0442\u0438\u043f\u0430 library \u0438 \u0433\u0440\u0430\u0444 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u043f\u043e\u0441\u0442\u0440\u043e\u0435\u043d \u043e\u0442 \u043d\u0435\u0433\u043e.<\/p>\n<p>\u0412 WebGoat.NET Trivy \u0441\u0440\u0430\u0437\u0443 \u043d\u0435 \u0441\u043c\u043e\u0433 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u0434\u0430\u0436\u0435 \u043f\u0440\u044f\u043c\u044b\u0435 NuGet \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u0438\u0437 .csproj \u0444\u0430\u0439\u043b\u0430, \u043d\u0435 \u0433\u043e\u0432\u043e\u0440\u044f \u0443\u0436 \u043e JS-\u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0430\u0445:<\/p>\n<pre><code class=\"json\"> \"components\": [],   \"dependencies\": [     {       \"ref\": \"c314ad0e-4705-49da-adcf-8b415e93b2f0\",       \"dependsOn\": []     }   ], <\/code><\/pre>\n<p>\u0418 \u0434\u0430\u0436\u0435 \u043f\u043e\u0441\u043b\u0435 \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 project.assets.json \u0432\u0441\u0435 \u0440\u0430\u0432\u043d\u043e \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u0432\u044b\u0448\u043b\u043e. Trivy \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 \u0442\u043e\u043b\u044c\u043a\u043e <a href=\"https:\/\/trivy.dev\/latest\/docs\/coverage\/language\/dotnet\/\" rel=\"noopener noreferrer nofollow\">\u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u043d\u044b\u0435<\/a> \u0432\u0438\u0434\u044b \u0444\u0430\u0439\u043b\u043e\u0432 \u0434\u043b\u044f C#, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u043d\u0443\u0436\u043d\u043e \u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u0442\u044c packages.lock.json \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439 <code>dotnet restore -p:RestorePackagesWithLockFile=True<\/code>.<\/p>\n<p>\u041e\u0431\u0440\u0430\u0431\u043e\u0442\u0430\u0432 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442 pom.xml \u0438\u043b\u0438 packages.lock.json Trivy \u0442\u0430\u043a\u0436\u0435 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u0435\u0442 \u0441\u043f\u0438\u0441\u043e\u043a \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0432 \u0440\u0430\u0437\u0434\u0435\u043b\u0435 components. \u0418\u0437 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0433\u043e, Trivy \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442 \u0432 properties \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u043b\u0438\u0446\u0435\u043d\u0437\u0438\u044f\u0445 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 (\u0441\u0440\u0430\u0431\u043e\u0442\u0430\u043b\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u0434\u043b\u044f maven-\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0435\u0439):<\/p>\n<pre><code class=\"json\">{       \"bom-ref\": \"pkg:maven\/commons-collections\/commons-collections@3.1\",       \"type\": \"library\",       \"group\": \"commons-collections\",       \"name\": \"commons-collections\",       \"version\": \"3.1\",       \"purl\": \"pkg:maven\/commons-collections\/commons-collections@3.1\",       \"properties\": [         {           \"name\": \"aquasecurity:trivy:PkgID\",           \"value\": \"commons-collections:commons-collections:3.1\"         },         {           \"name\": \"aquasecurity:trivy:PkgType\",           \"value\": \"pom\"         }       ]     }, <\/code><\/pre>\n<pre><code class=\"json\">{       \"bom-ref\": \"pkg:nuget\/System.Security.Cryptography.ProtectedData@6.0.0\",       \"type\": \"library\",       \"name\": \"System.Security.Cryptography.ProtectedData\",       \"version\": \"6.0.0\",       \"purl\": \"pkg:nuget\/System.Security.Cryptography.ProtectedData@6.0.0\",       \"properties\": [         {           \"name\": \"aquasecurity:trivy:PkgID\",           \"value\": \"System.Security.Cryptography.ProtectedData\/6.0.0\"         },         {           \"name\": \"aquasecurity:trivy:PkgType\",           \"value\": \"dotnet-core\"         }       ]     }, <\/code><\/pre>\n<p>\u0414\u043b\u044f \u043e\u0431\u043e\u0438\u0445 \u043f\u0440\u043e\u0435\u043a\u0442\u043e\u0432 Trivy \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b \u0442\u043e\u043b\u044c\u043a\u043e Java \u0438 C# \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438, \u043d\u0435 \u0443\u0447\u0438\u0442\u044b\u0432\u0430\u044f JS-\u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 \u2014 \u043c\u0438\u043d\u0443\u0441 \u043e\u0447\u043a\u043e \u0434\u043b\u044f Trivy. \u0414\u043b\u044f DJVA \u0432 \u0441\u0443\u043c\u043c\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u043e\u0441\u044c 58 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432, \u0434\u043b\u044f WebGoat.NET \u2014 237.<\/p>\n<p>\u0412 \u0440\u0430\u0437\u0434\u0435\u043b\u0435 dependencies \u0432\u0441\u0435 \u0432 \u043f\u043e\u0440\u044f\u0434\u043a\u0435. Trivy \u0432\u044b\u043f\u0438\u0441\u0430\u043b \u0434\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430 \u043f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u0432\u0441\u0435 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438, \u0438, \u043a\u0430\u043a \u0431\u044b\u043b\u043e \u0441\u043a\u0430\u0437\u0430\u043d\u043e \u0432\u044b\u0448\u0435, \u0432 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 cdxgen Trivy \u043d\u0435 \u0438\u0441\u043a\u043b\u044e\u0447\u0430\u0435\u0442 \u043f\u043e\u0432\u0442\u043e\u0440\u0435\u043d\u0438\u044f:<\/p>\n<figure class=\"\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/dCLoIin.png\" sizes=\"(max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/i.imgur.com\/dCLoIin.png 780w,&#10;       https:\/\/i.imgur.com\/dCLoIin.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p><strong>\u041f\u043e\u0434\u044b\u0442\u043e\u0436\u0438\u043c<\/strong>: Trivy \u043d\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b JS-\u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438, \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u043d\u044b\u0435 \u0432 \u043f\u0440\u043e\u0435\u043a\u0442 \u0432 \u0432\u0438\u0434\u0435 \u0444\u0430\u0439\u043b\u043e\u0432, \u043d\u0435 \u0440\u0430\u0441\u043f\u043e\u0437\u043d\u0430\u043b \u0444\u0430\u0439\u043b\u044b .csproj \u0438 project.assets.json, \u043d\u043e \u0432\u044b\u0434\u0430\u043b \u043f\u043e\u043b\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u044f\u0445 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0445 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432.<\/p>\n<h3>Syft<\/h3>\n<p>\u041b\u0451\u0433\u043a\u0438\u0439 \u0438 \u0431\u044b\u0441\u0442\u0440\u044b\u0439 SBOM-\u0433\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440 \u043e\u0442 Anchore.  \u0420\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u0441 \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u043e\u043c \u0444\u043e\u0440\u043c\u0430\u0442\u043e\u0432 \u043f\u0430\u043a\u0435\u0442\u043e\u0432, \u0432\u043a\u043b\u044e\u0447\u0430\u044f \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440\u044b.<\/p>\n<blockquote>\n<p>\u041a\u043e\u043c\u0430\u043d\u0434\u0430: <code>syft scan . -o cyclonedx-json=syft.json<\/code><\/p>\n<\/blockquote>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f dvja Syft \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b \u0432\u0441\u0435\u0433\u043e \u043b\u0438\u0448\u044c 21 maven-\u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442, \u0432\u0437\u044f\u0432 \u0438\u0445 \u043d\u0430\u043f\u0440\u044f\u043c\u0443\u044e \u0438\u0437 \u0444\u0430\u0439\u043b\u0430 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u0430, \u0442\u0430\u043a \u043a\u0430\u043a \u0434\u043b\u044f \u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u044b \u0441\u043a\u0430\u043d\u0435\u0440\u0430 \u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u0441\u0431\u043e\u0440\u043a\u0430 \u043f\u0440\u043e\u0435\u043a\u0442\u0430. \u0412 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0433\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430 \u0443\u043a\u0430\u0437\u0430\u043d\u0430 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044f \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f, \u043a\u0430\u043a \u0432 Trivy:<\/p>\n<pre><code class=\"json\">\"component\": {             \"bom-ref\": \"af63bd4c8601b7f1\",             \"type\": \"file\",             \"name\": \"\/mnt\/c\/Users\/akomissarchuk\/dummy-projects\/java\/dvja\"         } <\/code><\/pre>\n<p>\u0412 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b \u0442\u0430\u043a\u0436\u0435 \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u044b \u043f\u043e\u043b\u044f \u0441 \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u043c\u0438. \u0418\u0437 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0433\u043e \u2014 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u043f\u043e\u043b\u0435 CPE, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0433\u0435\u043d\u0435\u0440\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0441\u0430\u043c\u0438\u043c Syft:<\/p>\n<pre><code class=\"json\">\"components\": [         {             \"bom-ref\": \"pkg:maven\/cglib\/cglib@2.2?package-id=75386f8689bcc8ab\",             \"type\": \"library\",             \"group\": \"cglib\",             \"name\": \"cglib\",             \"version\": \"2.2\",             \"cpe\": \"cpe:2.3:a:cglib:cglib:2.2:*:*:*:*:*:*:*\",             \"purl\": \"pkg:maven\/cglib\/cglib@2.2\",             \"properties\": [                 {                     \"name\": \"syft:package:foundBy\",                     \"value\": \"java-pom-cataloger\"                 },                 {                     \"name\": \"syft:package:language\",                     \"value\": \"java\"                 },                 {                     \"name\": \"syft:package:type\",                     \"value\": \"java-archive\"                 },                 {                     \"name\": \"syft:package:metadataType\",                     \"value\": \"java-archive\"                 },                 {                     \"name\": \"syft:location:0:path\",                     \"value\": \"\/pom.xml\"                 },                 {                     \"name\": \"syft:metadata:-:artifactID\",                     \"value\": \"cglib\"                 },                 {                     \"name\": \"syft:metadata:-:groupID\",                     \"value\": \"cglib\"                 }             ]         }, <\/code><\/pre>\n<p>\u0421\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0432 dependencies \u0442\u043e\u0436\u0435 \u043d\u0435\u0431\u043e\u0433\u0430\u0442\u043e \u2014 \u0442\u043e\u043b\u044c\u043a\u043e \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u0438\u0437 \u0444\u0430\u0439\u043b\u0430 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u0430:<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/TWeNRdZ.png\" rel=\"noopener noreferrer nofollow\">https:\/\/i.imgur.com\/TWeNRdZ.png<\/a><\/p>\n<p>\u0421\u043e\u0431\u0440\u0430\u0432 \u043f\u0440\u043e\u0435\u043a\u0442 \u0438 \u043f\u0440\u043e\u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u0432 \u0437\u0430\u043d\u043e\u0432\u043e, Syft \u0443\u0436\u0435 \u0441\u043c\u043e\u0433 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b \u043f\u043e-\u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u043e\u043c\u0443 \u2014 \u043d\u0430\u0448\u043b\u043e\u0441\u044c 65. \u041d\u043e \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u044f \u0441 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u044f\u043c\u0438 \u043b\u0443\u0447\u0448\u0435 \u043d\u0435 \u0441\u0442\u0430\u043b\u0430, \u0432\u0441\u0435 \u043d\u043e\u0432\u044b\u0435 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b \u0431\u044b\u043b\u0438 \u0442\u0430\u043a \u0436\u0435 \u0437\u0430\u043f\u0438\u0441\u0430\u043d\u044b \u0432 \u043f\u0440\u044f\u043c\u044b\u0435 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043a \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u043c\u0443 (\u043f\u0440\u0438\u0447\u0435\u043c \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u043f\u0440\u043e\u0434\u0443\u0431\u043b\u0438\u0440\u043e\u0432\u0430\u043b\u0441\u044f):<\/p>\n<figure class=\"\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/4xVHBB8.png\" sizes=\"(max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/i.imgur.com\/4xVHBB8.png 780w,&#10;       https:\/\/i.imgur.com\/4xVHBB8.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u0412 WebGoat.NET \u0431\u0435\u0437 \u043b\u043e\u043a\u0444\u0430\u0439\u043b\u0430 Syft \u0442\u0430\u043a\u0436\u0435 \u043d\u0435 \u0441\u043f\u0440\u0430\u0432\u0438\u043b\u0441\u044f \u0441 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0435\u043d\u0438\u0435\u043c NuGet \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432, \u043d\u043e \u0437\u0430\u0442\u043e \u043d\u0430\u0448\u0435\u043b \u0432\u0441\u0435 Github Action \u043c\u043e\u0434\u0443\u043b\u0438:<\/p>\n<figure class=\"\"><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/7cOE1Os.png\" sizes=\"(max-width: 780px) 100vw, 50vw\" srcset=\"https:\/\/i.imgur.com\/7cOE1Os.png 780w,&#10;       https:\/\/i.imgur.com\/7cOE1Os.png 781w\" loading=\"lazy\" decode=\"async\"\/><\/figure>\n<p>\u041f\u043e\u0441\u043b\u0435 \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 lockfile Syft \u043f\u0440\u0435\u043a\u0440\u0430\u0441\u043d\u043e \u0435\u0433\u043e \u0440\u0430\u0441\u043f\u0430\u0440\u0441\u0438\u043b, \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0432 240 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0438 \u0432\u0441\u0435 \u0438\u0445 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438, \u043f\u0440\u0430\u0432\u0434\u0430, \u043d\u0435 \u043f\u0440\u0438\u0432\u044f\u0437\u0430\u0432 \u0438\u0445 \u043a \u0433\u043b\u0430\u0432\u043d\u043e\u043c\u0443 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0443.<\/p>\n<p>\u041d\u0438 \u0432 \u043e\u0434\u043d\u043e\u043c \u043f\u0440\u043e\u0435\u043a\u0442\u0435 JS \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 Syft \u043d\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b.<\/p>\n<p><strong>\u0418\u0442\u043e\u0433<\/strong>: Syft \u043d\u0435 \u0441\u043f\u0440\u0430\u0432\u0438\u043b\u0441\u044f \u0441 \u0433\u0440\u0430\u0444\u043e\u043c \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u0434\u043b\u044f Java-\u043f\u0440\u043e\u0435\u043a\u0442\u0430 \u0438 \u043d\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b JS \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438, \u043d\u043e \u0441\u043c\u043e\u0433 \u0441\u043e\u0431\u0440\u0430\u0442\u044c \u043d\u043e\u0440\u043c\u0430\u043b\u044c\u043d\u044b\u0439 SBOM \u043f\u043e WebGoat.NET \u0441 \u043f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u0441\u0433\u0435\u043d\u0435\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u044b\u043c lockfile.<\/p>\n<h3>CycloneDX Plugin for Maven\/.NET<\/h3>\n<p>\u0414\u043b\u044f \u044d\u043a\u043e\u0441\u0438\u0441\u0442\u0435\u043c .NET \u0438 Maven \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0442 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0435 \u043f\u043b\u0430\u0433\u0438\u043d\u044b \u0434\u043b\u044f \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 CycloneDX SBOM:<\/p>\n<ul>\n<li>\n<p><a href=\"https:\/\/github.com\/CycloneDX\/cyclonedx-dotnet\" rel=\"noopener noreferrer nofollow\">https:\/\/github.com\/CycloneDX\/cyclonedx-dotnet<\/a><\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/github.com\/CycloneDX\/cyclonedx-maven-plugin\" rel=\"noopener noreferrer nofollow\">https:\/\/github.com\/CycloneDX\/cyclonedx-maven-plugin<\/a><\/p>\n<\/li>\n<\/ul>\n<p>\u0414\u043b\u044f DJVA \u043f\u043b\u0430\u0433\u0438\u043d \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b 59 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432, \u0435\u0441\u0442\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e, \u0442\u043e\u043b\u044c\u043a\u043e maven. \u0414\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430 \u043e\u043d \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442 \u0445\u044d\u0448\u0438 \u0438 \u043b\u0438\u0446\u0435\u043d\u0437\u0438\u0438:<\/p>\n<pre><code class=\"json\">{       \"type\" : \"library\",       \"bom-ref\" : \"pkg:maven\/org.apache.struts\/struts2-core@2.3.30?type=jar\",       \"publisher\" : \"Apache Software Foundation\",       \"group\" : \"org.apache.struts\",       \"name\" : \"struts2-core\",       \"version\" : \"2.3.30\",       \"description\" : \"Apache Struts 2\",       \"scope\" : \"required\",       \"hashes\" : [         {           \"alg\" : \"MD5\",           \"content\" : \"e775580415dfa3a77e92f0ce6229268d\"         },         {           \"alg\" : \"SHA-1\",           \"content\" : \"0d2281c1a99f65b1ab19a5efd83a00a00995166d\"         },         {           \"alg\" : \"SHA-256\",           \"content\" : \"21161cc0b5056f34e0afca1feb42ebcc4bbcba0e2b075aa241c9be76b890fc65\"         },         {           \"alg\" : \"SHA-512\",           \"content\" : \"3a3c4083e8b0947f760f5f3d216450a62b7048247bc705939f255203ab721e343cd68d52233fb2240db3d8066435d922acf32a10c6cb28d132194c97d4025895\"         },         {           \"alg\" : \"SHA-384\",           \"content\" : \"ef2df3a2388461c384e842ee90eb4eabf562596aada15a784d7fc0c2ffc3b38915dd4cd1f2c896226501760b88e4ad64\"         },         {           \"alg\" : \"SHA3-384\",           \"content\" : \"655ee6e71047b5403957ab0c063b83a39294bae20cbe5cd72599d9c5371a03e05d6eabca5ae1a14a6d0e5eb08f00831c\"         },         {           \"alg\" : \"SHA3-256\",           \"content\" : \"46aaa149a8f9f0e2de483bb49c7932b9bd44d6416d3c572e46f89cc2d19a8c4f\"         },         {           \"alg\" : \"SHA3-512\",           \"content\" : \"1b39134ed5c8df0adffb610113b46c7b7fa51eeb1a9bad1159c16670f27931c772ca6e05576742c2dfd8f77a1e5940517adb194376811f2d7b97569fdb20c034\"         }       ],       \"licenses\" : [         {           \"license\" : {             \"id\" : \"Apache-2.0\"           }         } <\/code><\/pre>\n<p>\u0410 \u0442\u0430\u043a\u0436\u0435 \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442 \u0441\u0441\u044b\u043b\u043a\u0438, \u043e\u0441\u043d\u043e\u0432\u0430\u043d\u043d\u044b\u0435 \u043d\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 \u043e \u043f\u0430\u043a\u0435\u0442\u0435 \u0438\u0437 Maven Repository:<\/p>\n<pre><code class=\"json\">\"externalReferences\" : [         {           \"type\" : \"website\",           \"url\" : \"http:\/\/struts.apache.org\/struts2-core\/\"         },         {           \"type\" : \"build-system\",           \"url\" : \"https:\/\/builds.apache.org\/hudson\/view\/S-Z\/view\/Struts\"         },         {           \"type\" : \"distribution-intake\",           \"url\" : \"https:\/\/repository.apache.org\/service\/local\/staging\/deploy\/maven2\"         },         {           \"type\" : \"issue-tracker\",           \"url\" : \"https:\/\/issues.apache.org\/jira\/browse\/WW\"         },         {           \"type\" : \"mailing-list\",           \"url\" : \"http:\/\/mail-archives.apache.org\/mod_mbox\/struts-user\/\"         },         {           \"type\" : \"vcs\",           \"url\" : \"http:\/\/git.apache.org\/struts.git\/struts2-core\"         }       ] <\/code><\/pre>\n<p>\u0412 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u043e\u043c \u043d\u0435 \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442\u0441\u044f \u043e\u0442 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u043e\u0432 \u0438\u0437 cdxgen.<\/p>\n<p>\u0414\u043b\u044f WebGoat.NET \u043f\u043e\u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043b\u043e\u0441\u044c \u0443\u043a\u0430\u0437\u0430\u0442\u044c \u0444\u0430\u0439\u043b .sln, \u043f\u043e\u0441\u043b\u0435 \u0447\u0435\u0433\u043e \u043e\u043d \u0441\u0430\u043c \u043f\u0440\u043e\u0432\u0435\u043b restore \u043f\u0430\u043a\u0435\u0442\u043e\u0432. \u0412 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0435 \u0432\u0441\u0451 \u0442\u0430\u043a\u0436\u0435 \u0445\u043e\u0440\u043e\u0448\u043e \u2014 \u0445\u044d\u0448\u0438, \u043b\u0438\u0446\u0435\u043d\u0437\u0438\u0438, \u0441\u0441\u044b\u043b\u043a\u0438 \u0438 \u043c\u0435\u0442\u0430\u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u0438\u0437 NuGet \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u044f (\u0434\u0430\u0436\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u044f \u043c\u043e\u0434\u0443\u043b\u0435\u0439 \u043f\u043e\u0434\u0442\u044f\u043d\u0443\u043b\u0438\u0441\u044c):<\/p>\n<pre><code class=\"json\">{       \"type\": \"library\",       \"bom-ref\": \"pkg:nuget\/Castle.Core@5.1.0\",       \"authors\": [         {           \"name\": \"Castle Project Contributors\"         }       ],       \"name\": \"Castle.Core\",       \"version\": \"5.1.0\",       \"description\": \"Castle Core, including DynamicProxy, Logging Abstractions and DictionaryAdapter\",       \"scope\": \"excluded\",       \"hashes\": [         {           \"alg\": \"SHA-512\",           \"content\": \"8577F1ECE48138365EC39BB0236A6E542910CAC2547F88193F37196A01AFC2C7B7A0860BDBA7039E0BD1F72EC8240CD4561FBABDE1FBC91E6EF43F6DA3454E76\"         }       ],       \"licenses\": [         {           \"license\": {             \"id\": \"Apache-2.0\"           }         }       ],       \"copyright\": \"Copyright (c) 2004-2022 Castle Project - http:\/\/www.castleproject.org\/\",       \"purl\": \"pkg:nuget\/Castle.Core@5.1.0\",       \"externalReferences\": [         {           \"url\": \"http:\/\/www.castleproject.org\/\",           \"type\": \"website\"         },         {           \"url\": \"https:\/\/github.com\/castleproject\/Core\",           \"type\": \"vcs\"         }       ]     }, <\/code><\/pre>\n<p>\u041a\u0430\u043a \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442, \u043d\u0430\u0442\u0438\u0432\u043d\u044b\u0435 \u043f\u043b\u0430\u0433\u0438\u043d\u044b \u0434\u043b\u044f \u044d\u043a\u043e\u0441\u0438\u0441\u0442\u0435\u043c \u043f\u0440\u0435\u0434\u043e\u0441\u0442\u0430\u0432\u043b\u044f\u044e\u0442 \u0441\u0430\u043c\u0443\u044e \u043f\u043e\u043b\u043d\u0443\u044e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044e \u043e \u043f\u0430\u043a\u0435\u0442\u0430\u0445 \u0438 \u0438\u0445 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u044f\u0445, \u043d\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u0432 \u0441\u0432\u043e\u0435\u0439 \u044d\u043a\u043e\u0441\u0438\u0441\u0442\u0435\u043c\u0435.<\/p>\n<h4>\u0412\u044b\u0432\u043e\u0434<\/h4>\n<p>\u041d\u0435\u0442 \u043e\u0434\u043d\u043e\u0437\u043d\u0430\u0447\u043d\u043e \u043b\u0443\u0447\u0448\u0435\u0433\u043e SBOM-\u0433\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440\u0430, \u0443 \u0432\u0441\u0435\u0445 \u0435\u0441\u0442\u044c \u0441\u0432\u043e\u0438 \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e\u0441\u0442\u0438.<\/p>\n<p>\u0420\u0435\u0437\u044e\u043c\u0435 \u043f\u043e \u043a\u0430\u0436\u0434\u043e\u043c\u0443:<\/p>\n<ul>\n<li>\n<p>cdxgen \u043f\u043e\u043a\u0430\u0437\u0430\u043b \u0441\u0435\u0431\u044f \u043b\u0443\u0447\u0448\u0435 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0445, \u043d\u0430\u043f\u043e\u043b\u043d\u0438\u043b SBOM \u0441\u0430\u043c\u043e\u0439 \u043f\u043e\u043b\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0435\u0439 \u043e \u043f\u0430\u043a\u0435\u0442\u0430\u0445 \u0438 \u0441\u043c\u043e\u0433 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c JS-\u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438, \u043e\u0434\u043d\u0430\u043a\u043e \u0434\u043b\u044f .NET \u043f\u0440\u043e\u0435\u043a\u0442\u0430 \u043f\u043e\u0442\u0440\u0435\u0431\u043e\u0432\u0430\u043b \u0441\u0434\u0435\u043b\u0430\u0442\u044c restore \u043f\u0430\u043a\u0435\u0442\u043e\u0432 \u0434\u043b\u044f \u0432\u044b\u0432\u043e\u0434\u0430 \u043f\u043e\u043b\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438 \u043e \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u044f\u0445.<\/p>\n<\/li>\n<li>\n<p>Trivy \u043c\u043e\u0436\u043d\u043e \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0434\u043b\u044f \u0440\u0430\u0437\u043d\u043e\u043e\u0431\u0440\u0430\u0437\u043d\u044b\u0445 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u043e\u0432 \u2014 filesystem, repository, image \u0438 \u0442.\u0434. \u0418 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0438\u0432\u043d\u044b\u0439 SBOM \u0432\u044b\u0433\u043b\u044f\u0434\u0438\u0442 \u043d\u0435\u043f\u043b\u043e\u0445\u043e. \u041e\u0434\u043d\u0430\u043a\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u043e\u043d \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b \u043c\u0435\u043d\u044c\u0448\u0435 \u0438 \u0441\u0442\u043e\u043b\u043a\u043d\u0443\u043b\u0441\u044f \u0441 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u0430\u043c\u0438 \u043f\u0440\u0438 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438 .NET \u043f\u0440\u043e\u0435\u043a\u0442\u0430, \u0430 \u0442\u0430\u043a\u0436\u0435 \u043d\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b JS-\u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438.<\/p>\n<\/li>\n<li>\n<p>Syft \u0431\u0435\u0437 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0445 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0439 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b \u043f\u043e\u0440\u0430\u0437\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043c\u0430\u043b\u043e\u0435 \u043a\u043e\u043b\u0438\u0447\u0435\u0441\u0442\u0432\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432, \u043e\u0441\u043e\u0431\u0435\u043d\u043d\u043e \u0434\u043b\u044f Java, \u043d\u043e \u0437\u0430\u0442\u043e \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e \u043d\u0438\u0445 \u0431\u044b\u043b\u0430 \u0447\u0443\u0442\u044c \u0431\u043e\u043b\u0435\u0435 \u043f\u043e\u043b\u043d\u043e\u0439, \u0447\u0435\u043c \u0432 \u043e\u0441\u0442\u0430\u043b\u044c\u043d\u044b\u0445.<\/p>\n<\/li>\n<li>\n<p>\u041f\u043b\u0430\u0433\u0438\u043d\u044b \u0434\u043b\u044f Maven \u0438 .NET \u0434\u0430\u043b\u0438 \u0441\u0430\u043c\u044b\u0435 \u0432\u0435\u0440\u043d\u044b\u0435 \u0438 \u0441\u0430\u043c\u044b\u0435 \u043f\u043e\u043b\u043d\u044b\u0435 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u044b, \u043d\u043e, \u0441\u0430\u043c\u043e \u0441\u043e\u0431\u043e\u0439, \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0442\u043e\u043b\u044c\u043a\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b \u0441\u0432\u043e\u0438\u0445 \u044d\u043a\u043e\u0441\u0438\u0441\u0442\u0435\u043c.<\/p>\n<\/li>\n<\/ul>\n<p>\u0412\u043e\u0437\u043c\u043e\u0436\u043d\u043e, \u0441\u0430\u043c\u044b\u043c \u0432\u0435\u0440\u043d\u044b\u043c \u0440\u0435\u0448\u0435\u043d\u0438\u0435\u043c \u0431\u044b\u043b\u043e \u0431\u044b \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c language-specific SBOM-\u0433\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440\u044b \u0434\u043b\u044f \u043f\u0440\u043e\u0435\u043a\u0442\u043e\u0432 \u0441 \u043e\u0434\u043d\u0438\u043c \u044f\u0437\u044b\u043a\u043e\u043c \u0438 cdxgen \u0434\u043b\u044f multi-language \u043f\u0440\u043e\u0435\u043a\u0442\u043e\u0432.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<p><!----><!----><\/div>\n<p><!----><!----><br \/> \u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 <a href=\"https:\/\/habr.com\/ru\/articles\/916256\/\"> https:\/\/habr.com\/ru\/articles\/916256\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<div><!--[--><!--]--><\/div>\n<div id=\"post-content-body\">\n<div>\n<div class=\"article-formatted-body article-formatted-body article-formatted-body_version-2\">\n<div xmlns=\"http:\/\/www.w3.org\/1999\/xhtml\">\n<p>\u0412\u0441\u0435\u043c \u043f\u0440\u0438\u0432\u0435\u0442! \u041d\u0430 \u0441\u0432\u044f\u0437\u0438 \u0410\u0440\u043a\u0430\u0434\u0438\u0439 \u041a\u043e\u043c\u0438\u0441\u0441\u0430\u0440\u0447\u0443\u043a, \u044f \u0430\u043d\u0430\u043b\u0438\u0442\u0438\u043a \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u043e\u043d\u043d\u043e\u0439 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u0430 Appsec.Track, \u0437\u0430\u043d\u0438\u043c\u0430\u044e\u0441\u044c \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u043d\u0438\u044f\u043c\u0438 \u0432 \u0441\u0444\u0435\u0440\u0435 \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0439 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438. \u0422\u0435\u043c\u0430 \u0441\u0435\u0433\u043e\u0434\u043d\u044f\u0448\u043d\u0435\u0439 \u0441\u0442\u0430\u0442\u044c\u0438 \u0437\u0430\u0442\u0440\u0430\u0433\u0438\u0432\u0430\u0435\u0442 \u043f\u0440\u0430\u043a\u0442\u0438\u043a\u0438 SCA &amp; SBOM.<\/p>\n<figure class=\"\"><\/figure>\n<p><strong>Software Bill of Materials (SBOM)<\/strong> \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0441\u044f \u0432\u0441\u0451 \u0431\u043e\u043b\u0435\u0435 \u0432\u0430\u0436\u043d\u044b\u043c \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u043e\u043c \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f \u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u0438 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u043e\u0433\u043e \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0435\u043d\u0438\u044f. \u0412 <a href=\"https:\/\/habr.com\/ru\/companies\/swordfish_security\/articles\/797801\/\" rel=\"noopener noreferrer nofollow\">\u043e\u0434\u043d\u043e\u0439 \u0438\u0437 \u0441\u0442\u0430\u0442\u0435\u0439<\/a> \u043c\u044b \u0443\u0436\u0435 \u0440\u0430\u0441\u0441\u043a\u0430\u0437\u0430\u043b\u0438, \u0447\u0442\u043e \u0442\u0430\u043a\u043e\u0435 SBOM \u0438 \u043a\u0430\u043a \u0438\u0445 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0442\u044c. \u0412 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0435 \u043c\u044b \u0440\u0430\u0441\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u044b \u0434\u043b\u044f \u0438\u0445 \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438.<\/p>\n<p>\u0421 \u043f\u043e\u044f\u0432\u043b\u0435\u043d\u0438\u0435\u043c \u043c\u043d\u043e\u0436\u0435\u0441\u0442\u0432\u0430 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u0432 \u0434\u043b\u044f \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 SBOM, \u0432\u0441\u0442\u0430\u0451\u0442 \u0432\u043e\u043f\u0440\u043e\u0441 \u2014 \u0430 \u043a\u0430\u043a\u043e\u0439 \u0438\u0437 \u043d\u0438\u0445 \u0432\u044b\u0431\u0440\u0430\u0442\u044c? \u041c\u044b \u0441\u0440\u0430\u0432\u043d\u0438\u043b\u0438 \u043f\u043e\u043f\u0443\u043b\u044f\u0440\u043d\u044b\u0435 SBOM-\u0433\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440\u044b \u043f\u043e \u0444\u043e\u0440\u043c\u0430\u0442\u0443 <strong>CycloneDX<\/strong>: <code>cdxgen<\/code>, <code>Trivy<\/code>, <code>Syft<\/code> \u0438 \u043f\u043b\u0430\u0433\u0438\u043d\u044b CycloneDX \u0434\u043b\u044f \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0445 \u044d\u043a\u043e\u0441\u0438\u0441\u0442\u0435\u043c. \u0414\u043b\u044f \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0438\u0441\u044c \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0438:<\/p>\n<ul>\n<li>\n<p><a href=\"https:\/\/github.com\/appsecco\/dvja\" rel=\"noopener noreferrer nofollow\"><code>dvja<\/code><\/a>, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0449\u0438\u0439 Maven \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u0438 js-\u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438<\/p>\n<\/li>\n<li>\n<p><a href=\"https:\/\/github.com\/tobyash86\/WebGoat.NET\/tree\/master\" rel=\"noopener noreferrer nofollow\"><code>WebGoat.NET<\/code><\/a> &#8212; WebGoat \u043f\u0440\u043e\u0435\u043a\u0442, \u0440\u0435\u0430\u043b\u0438\u0437\u043e\u0432\u0430\u043d\u043d\u044b\u0439 \u043d\u0430 C# \u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0439 NuGet \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438, \u0430 \u0442\u0430\u043a\u0436\u0435 jquery. \u0415\u0449\u0435 \u0432 \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u044e\u0442\u0441\u044f Github Action<\/p>\n<\/li>\n<\/ul>\n<p>\u0412 \u0434\u0430\u043d\u043d\u043e\u043c \u043e\u0431\u0437\u043e\u0440\u0435 \u0441\u0440\u0430\u0432\u043d\u0438\u0432\u0430\u044e\u0442\u0441\u044f \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u044b \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u044f \u043a\u043e\u0434\u0430 \u0438 \u0441\u043e\u0431\u0440\u0430\u043d\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0435\u043a\u0442\u0430. \u0421\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 Docker-\u043e\u0431\u0440\u0430\u0437\u043e\u0432 \u043d\u0435 \u0441\u0438\u043b\u044c\u043d\u043e \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442\u0441\u044f \u043e\u0442 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0441\u043e\u0431\u0440\u0430\u043d\u043d\u044b\u0445 \u0430\u0440\u0442\u0435\u0444\u0430\u043a\u0442\u043e\u0432, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0435\u0433\u043e \u0440\u0430\u0441\u0441\u043c\u0430\u0442\u0440\u0438\u0432\u0430\u0442\u044c \u043d\u0435 \u0431\u0443\u0434\u0435\u043c.<\/p>\n<h3>cdxgen<\/h3>\n<p>\u0413\u0435\u043d\u0435\u0440\u0430\u0442\u043e\u0440 SBOM \u043e\u0442 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 CycloneDX, \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0432\u0448\u0435\u0433\u043e \u0441\u0432\u043e\u0439 \u0444\u043e\u0440\u043c\u0430\u0442 SBOM. \u041f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u0435\u0442 Java, JavaScript (npm, yarn), Python \u0438 <a href=\"https:\/\/cyclonedx.github.io\/cdxgen\/#\/PROJECT_TYPES\" rel=\"noopener noreferrer nofollow\">\u043c\u043d\u043e\u0433\u0438\u0435 \u0434\u0440\u0443\u0433\u0438\u0435 \u044f\u0437\u044b\u043a\u0438<\/a>. \u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f &#171;\u043f\u043e\u0434 \u043a\u0430\u043f\u043e\u0442\u043e\u043c&#187; Dependency-Track \u0434\u043b\u044f \u0433\u0435\u043d\u0435\u0440\u0430\u0446\u0438\u0438 SBOM.<\/p>\n<blockquote>\n<p>\u041a\u043e\u043c\u0430\u043d\u0434\u0430 \u0434\u043b\u044f \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f: <code>cdxgen &lt;path&gt;<\/code> (\u0432\u044b\u0432\u043e\u0434 \u0431\u0443\u0434\u0435\u0442 \u0432 \u0444\u0430\u0439\u043b\u0435 bom.json)<\/p>\n<\/blockquote>\n<p>\u0412 DJVA cdxgen \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b \u043e\u0441\u043d\u043e\u0432\u043d\u043e\u0439 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u0438\u0441\u0445\u043e\u0434\u044f \u0438\u0437 pom.xml \u0444\u0430\u0439\u043b\u0430 \u0432 DVJA \u0438 \u043f\u043e\u043c\u0435\u0441\u0442\u0438\u043b \u0435\u0433\u043e \u0432 \u0441\u0435\u043a\u0446\u0438\u044e &#171;metadata&#187;:<\/p>\n<pre><code class=\"json\">\"component\": {             \"group\": \"com.appsecco\",             \"name\": \"dvja\",             \"version\": \"1.0-SNAPSHOT\",             \"properties\": [                 {                     \"name\": \"SrcFile\",                     \"value\": \"\/mnt\/c\/Users\/akomissarchuk\/dummy-projects\/java\/dvja\/pom.xml\"                 }             ],             \"purl\": \"pkg:maven\/com.appsecco\/dvja@1.0-SNAPSHOT?type=war\",             \"bom-ref\": \"pkg:maven\/com.appsecco\/dvja@1.0-SNAPSHOT?type=war\",             \"type\": \"application\"         }, <\/code><\/pre>\n<p>\u0422\u043e \u0436\u0435 \u0441\u0430\u043c\u043e\u0435 \u0432 WebGoat.NET:<\/p>\n<pre><code class=\"json\">\"component\": {             \"type\": \"application\",             \"properties\": [                 {                     \"name\": \"cdx:dotnet:target_framework\",                     \"value\": \"net8.0\"                 }             ],             \"name\": \"WebGoat.NET\",             \"purl\": \"pkg:nuget\/WebGoat.NET@latest\",             \"bom-ref\": \"pkg:nuget\/WebGoat.NET@latest\"         }, <\/code><\/pre>\n<p>\u0412 \u044d\u0442\u043e\u0439 \u0436\u0435 \u0441\u0435\u043a\u0446\u0438\u0438 \u0434\u0430\u043b\u0435\u0435 \u0438\u0434\u0435\u0442 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u044f \u043e\u0431 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0445 \u0442\u0438\u043f\u0430\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0432 \u043f\u0440\u043e\u0435\u043a\u0442\u0435 \u043f\u043e \u044d\u043a\u043e\u0441\u0438\u0441\u0442\u0435\u043c\u0430\u043c, \u043d\u0435\u0439\u043c\u0441\u043f\u0435\u0439\u0441\u0430\u0445 \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u044b\u0445 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0438 \u0444\u0430\u0439\u043b\u0430\u0445 \u0438\u0441\u0445\u043e\u0434\u043d\u0438\u043a\u043e\u0432:<\/p>\n<pre><code class=\"json\">\"properties\": [             {                 \"name\": \"cdx:bom:componentTypes\",                 \"value\": \"maven\\\\nnpm\"             },             {                 \"name\": \"cdx:bom:componentNamespaces\",                 \"value\": \"antlr\\\\naopalliance\\\\nasm\\\\ncglib\\\\ncom.google.code.gson\\\\ncom.jgeppert.struts2.bootstrap\\\\ncommons-beanutils\\\\ncommons-chain\\\\ncommons-codec\\\\ncommons-collections\\\\ncommons-digester\\\\ncommons-fileupload\\\\ncommons-io\\\\ncommons-lang\\\\ncommons-logging\\\\ncommons-validator\\\\ndom4j\\\\njavassist\\\\njavax.servlet\\\\njavax.transaction\\\\njunit\\\\nlog4j\\\\nmysql\\\\nognl\\\\norg.apache.commons\\\\norg.apache.logging.log4j\\\\norg.apache.struts\\\\norg.apache.struts.xwork\\\\norg.apache.velocity\\\\norg.freemarker\\\\norg.hibernate\\\\norg.slf4j\\\\norg.springframework\\\\noro\\\\nsslext\\\\nxml-apis\"             },             {                 \"name\": \"cdx:bom:componentSrcFiles\",                 \"value\": \"pom.xml\\\\nsrc\/main\/webapp\/assets\/jquery-3.2.1.min.js\\\\nsrc\/main\/webapp\/assets\/showdown.min.js\"             } <\/code><\/pre>\n<pre><code class=\"json\">\"properties\": [             {                 \"name\": \"cdx:bom:componentTypes\",                 \"value\": \"github\\\\nnpm\\\\nnuget\"             },             {                 \"name\": \"cdx:bom:componentNamespaces\",                 \"value\": \"actions\\\\ndocker\"             },             {                 \"name\": \"cdx:bom:componentSrcFiles\",                 \"value\": \"WebGoat.NET\/WebGoat.NET.csproj\\\\nWebGoat.NET\/wwwroot\/lib\/bootstrap\/dist\/js\/bootstrap.bundle.min.js\\\\nWebGoat.NET\/wwwroot\/lib\/bootstrap\/dist\/js\/bootstrap.min.js\\\\nWebGoat.NET\/wwwroot\/lib\/jquery-validation\/dist\/additional-methods.min.js\\\\nWebGoat.NET\/wwwroot\/lib\/jquery-validation\/dist\/jquery.validate.min.js\\\\nWebGoat.NET\/wwwroot\/lib\/jquery\/dist\/jquery.min.js\"             } <\/code><\/pre>\n<p>\u0414\u0430\u043b\u0435\u0435 \u0438\u0434\u0451\u0442 \u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d\u0438\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0445 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0432 \u0441\u0435\u043a\u0446\u0438\u0438 <code>components<\/code>. \u0414\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u043e\u0433\u043e \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430 \u0432\u044b\u0432\u043e\u0434\u0438\u0442\u0441\u044f \u0434\u043e\u043a\u0430\u0437\u0430\u0442\u0435\u043b\u044c\u0441\u0442\u0432\u043e \u0435\u0433\u043e \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0438\u044f \u0432 \u043f\u0440\u043e\u0435\u043a\u0442\u0435 (evidence). \u042d\u0442\u043e \u043c\u043e\u0433\u0443\u0442 \u0431\u044b\u0442\u044c \u0444\u0430\u0439\u043b\u044b \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u043e\u0432, \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0441\u0430\u043c\u0438\u0445 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0438 \u043c\u043d\u043e\u0433\u043e\u0435 \u0434\u0440\u0443\u0433\u043e\u0435 (\u0441\u043c. <a href=\"https:\/\/cyclonedx.org\/guides\/OWASP_CycloneDX-Authoritative-Guide-to-SBOM-en.pdf\" rel=\"noopener noreferrer nofollow\">\u0441\u043f\u0435\u0446\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044e<\/a>, \u0440\u0430\u0437\u0434\u0435\u043b Evidence).<\/p>\n<p>\u041f\u0440\u0438\u043c\u0435\u0440 \u2014 \u0432 DJVA \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f showdown, \u043d\u043e \u043d\u0435 \u0432 \u043a\u0430\u0447\u0435\u0441\u0442\u0432\u0435 npm-\u043c\u043e\u0434\u0443\u043b\u044f, \u0430 \u043f\u0440\u043e\u0441\u0442\u043e \u0432 \u0432\u0438\u0434\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u043d\u043e\u0433\u043e \u0441\u043a\u0440\u0438\u043f\u0442\u0430, \u0438 cdxgen \u0441\u043c\u043e\u0433 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u0442\u044c \u044d\u0442\u043e \u0438\u0437 \u0438\u043c\u0435\u043d\u0438 \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u043e\u0433\u043e .min.js \u0444\u0430\u0439\u043b\u0430:<\/p>\n<pre><code class=\"json\"> {             \"group\": \"\",             \"name\": \"showdown\",             \"version\": \"02-06-2017\",             \"purl\": \"pkg:npm\/showdown@02-06-2017\",             \"type\": \"library\",             \"bom-ref\": \"pkg:npm\/showdown@02-06-2017\",             \"properties\": [                 {                     \"name\": \"SrcFile\",                     \"value\": \"src\/main\/webapp\/assets\/showdown.min.js\"                 }             ],             \"evidence\": {                 \"identity\": [                     {                         \"field\": \"purl\",                         \"confidence\": 0.25,                         \"methods\": [                             {                                 \"technique\": \"filename\",                                 \"confidence\": 0.25,                                 \"value\": \"src\/main\/webapp\/assets\/showdown.min.js\"                             }                         ],                         \"concludedValue\": \"src\/main\/webapp\/assets\/showdown.min.js\"                     }                 ]             }         }, <\/code><\/pre>\n<p>\u0412 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 evidence \u0434\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0438 \u0434\u043b\u044f \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432, \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u044b\u0445 \u043f\u0440\u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0435 \u0444\u0430\u0439\u043b\u043e\u0432 \u043c\u0430\u043d\u0438\u0444\u0435\u0441\u0442\u043e\u0432. \u041f\u0440\u0438\u043c\u0435\u0440 \u043d\u0430\u0439\u0434\u0435\u043d\u043d\u043e\u0433\u043e Json.Net \u0432 .csproj \u0444\u0430\u0439\u043b\u0435 WebGoat:<\/p>\n<pre><code class=\"json\">{             \"group\": \"\",             \"name\": \"Json.Net\",             \"version\": \"1.0.33\",             \"purl\": \"pkg:nuget\/Json.Net@1.0.33\",             \"type\": \"library\",             \"bom-ref\": \"pkg:nuget\/Json.Net@1.0.33\",             \"properties\": [                 {                     \"name\": \"SrcFile\",                     \"value\": \"WebGoat.NET\/WebGoat.NET.csproj\"                 }             ],             \"evidence\": {                 \"identity\": [                     {                         \"field\": \"purl\",                         \"confidence\": 0.7,                         \"methods\": [                             {                                 \"technique\": \"manifest-analysis\",                                 \"confidence\": 0.7,                                 \"value\": \"WebGoat.NET\/WebGoat.NET.csproj\"                             }                         ],                         \"concludedValue\": \"WebGoat.NET\/WebGoat.NET.csproj\"                     }                 ]             }         }, <\/code><\/pre>\n<p>\u0412\u0441\u0435 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u0447\u0435\u0440\u0435\u0437 \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435, \u0433\u0440\u0443\u043f\u043f\u0443 (\u043f\u0440\u0438 \u043d\u0430\u043b\u0438\u0447\u0438\u0438) \u0438 \u0432\u0435\u0440\u0441\u0438\u044e. \u0414\u043b\u044f \u043a\u0430\u0436\u0434\u043e\u0433\u043e \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u044f\u0435\u0442\u0441\u044f \u0435\u0433\u043e purl \u0438 \u0442\u0438\u043f (library, framework, application \u0438 \u0442.\u0434.)\/<\/p>\n<blockquote>\n<p><em>\u0412 SBOM \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u0430\u043c\u0438 \u043c\u043e\u0433\u0443\u0442 \u044f\u0432\u043b\u044f\u0442\u044c\u0441\u044f \u043d\u0435 \u0442\u043e\u043b\u044c\u043a\u043e \u0431\u0438\u0431\u043b\u0438\u043e\u0442\u0435\u043a\u0438 \u0438\u043b\u0438 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u043d\u044b\u0435 \u043c\u043e\u0434\u0443\u043b\u0438, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u044b\u0435 \u0432 \u043f\u0440\u043e\u0435\u043a\u0442\u0435, \u043d\u043e \u0438 \u043c\u043d\u043e\u0433\u0438\u0435 \u0434\u0440\u0443\u0433\u0438\u0435 \u044d\u043b\u0435\u043c\u0435\u043d\u0442\u044b. \u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435 \u2014 \u0432 <\/em><a href=\"https:\/\/cyclonedx.org\/guides\/OWASP_CycloneDX-Authoritative-Guide-to-SBOM-en.pdf\" rel=\"noopener noreferrer nofollow\"><em>\u0441\u043f\u0435\u0446\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438<\/em><\/a><em>.<\/em><\/p>\n<\/blockquote>\n<figure class=\"\">\n<div><figcaption>\u0422\u0438\u043f\u044b \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 \u0432 \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 CycloneDX<\/figcaption><\/div>\n<\/figure>\n<p>\u0414\u043b\u044f maven-\u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u043e\u0432 cdxgen \u0442\u0430\u043a\u0436\u0435 \u043e\u043f\u0440\u0435\u0434\u0435\u043b\u0438\u043b scope (\u043e\u0431\u043b\u0430\u0441\u0442\u044c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f) \u0438 \u0440\u0430\u0437\u0434\u0435\u043b\u0438\u043b \u0438\u0445 \u043d\u0430 \u043d\u0435\u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0435 (&#171;scope&#187;: &#171;optional&#187;), \u043a\u043e\u0442\u043e\u0440\u044b\u0435, \u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u044e\u0442\u0441\u044f \u0434\u043b\u044f \u0442\u0435\u0441\u0442\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f, \u0438 \u043e\u0431\u044f\u0437\u0430\u0442\u0435\u043b\u044c\u043d\u044b\u0435 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043f\u0440\u043e\u0435\u043a\u0442\u0430 (&#171;scope&#187;: &#171;required&#187;). \u041f\u0440\u0438\u043c\u0435\u0440 \u2014 \u043a\u043e\u043c\u043f\u043e\u043d\u0435\u043d\u0442\u044b spring-test \u0438 spring-core:<\/p>\n<pre><code class=\"json\">{             \"group\": \"org.springframework\",             \"name\": \"spring-test\",             \"version\": \"3.0.5.RELEASE\",             \"scope\": \"optional\",             \"purl\": \"pkg:maven\/org.springframework\/spring-test@3.0.5.RELEASE?type=jar\",             \"type\": \"framework\",             \"bom-ref\": \"pkg:maven\/org.springframework\/spring-test@3.0.5.RELEASE?type=jar\",             \"properties\": [                 {                     \"name\": \"cdx:maven:component_scope\",                     \"value\": \"test\"                 },                 {                     \"name\": \"SrcFile\",                     \"value\": \"pom.xml\"                 }             ],             \"evidence\": {                 \"identity\": [                     {                         \"field\": \"purl\",                         \"confidence\": 0.5,                         \"methods\": [                             {                                 \"technique\": \"manifest-analysis\",                                 \"confidence\": 0.5,                                 \"value\": \"pom.xml\"                             }                         ],                         \"concludedValue\": \"pom.xml\"                     }                 ]             },             \"tags\": [                 \"framework\"             ]         },         {             \"group\": \"org.springframework\",             \"name\": \"spring-core\",             \"version\": \"3.0.5.RELEASE\",             \"scope\": \"required\",             \"purl\": \"pkg:maven\/org.springframework\/spring-core@3.0.5.RELEASE?type=jar\",             \"type\": \"framework\",             \"bom-ref\": \"pkg:maven\/org.springframework\/spring-core@3.0.5.RELEASE?type=jar\",             \"properties\": [                 {                     \"name\": \"cdx:maven:component_scope\",                     \"value\": \"compile\"                 },                 {                     \"name\": \"SrcFile\",                     \"value\": \"pom.xml\"                 }             ],             \"evidence\": {                 \"identity\": [                     {                         \"field\": \"purl\",                         \"confidence\": 0.5,                         \"methods\": [                             {                                 \"technique\": \"manifest-analysis\",<\/code><\/pre>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-462986","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/462986","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=462986"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/462986\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=462986"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=462986"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=462986"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}